Yazarlar: Av. Mert Güneş & Av. Melis Güneş — Güneş Partners kurucu ortakları Son güncelleme: Mayıs 2026
TL;DR — Bu Yazının Özeti
Mobil uygulama geliştiricisi, uygulamanın topladığı tüm kişisel verilerden veri sorumlusu olarak sorumludur — üçüncü taraf SDK'ların topladığı veriler dahil.
Firebase, Facebook SDK, AppsFlyer, Adjust, Google Analytics ve Crashlytics gibi SDK'lar uygulamaya entegre edildiğinde kullanıcıdan sizin adınıza veri toplar; bu verilerin hukuki sorumluluğu size aittir.
Runtime izinler (konum, kamera, mikrofon, rehber) KVKK açısından açık rıza mekanizması olarak tek başına yeterli değildir; aydınlatma ayrıca yapılmalıdır.
Apple App Tracking Transparency (ATT) ve Google'ın Privacy Sandbox düzenlemeleri KVKK ile paralel biçimde karşılanmalıdır.
Privacy Nutrition Label (Apple) ve Data Safety Section (Google) KVKK aydınlatma yükümlülüğünü tam olarak karşılamaz; ayrı aydınlatma metni zorunludur.
Çocuklara yönelik uygulamalar KVKK, COPPA ve platform kuralları açısından en yüksek risk kategorisindedir.
Push notification verileri, cihaz token'ları ve kullanıcı segmentasyonu KVKK kapsamında kişisel veri niteliğindedir.
Mobil Uygulamada Kişisel Veri Haritası
Bir mobil uygulama, kullanıcının farkında olmadığı pek çok kişisel veriyi toplar. Geliştirici olarak bu veri haritasını eksiksiz bilmeniz KVKK uyumunun ilk adımıdır.
Doğrudan Toplanan Veriler
Kullanıcının bilinçli olarak girdiği verilerdir: kayıt bilgileri (ad, e-posta, telefon), profil bilgileri, ödeme bilgileri, arama sorguları, mesajlar ve kullanıcı tarafından yüklenen içerikler.
Otomatik Toplanan Veriler
Uygulama çalışırken arka planda toplanan verilerdir: cihaz tanımlayıcısı (IDFA/GAID), IP adresi, cihaz modeli ve işletim sistemi, uygulama sürümü, oturum süresi ve kullanım sıklığı, konum verileri (GPS, Wi-Fi, cell tower), çökme raporları (crash logs) ve performans metrikleri.
SDK'lar Tarafından Toplanan Veriler
Uygulamaya entegre edilen üçüncü taraf SDK'ların arka planda topladığı verilerdir. Bu katman en riskli olanıdır çünkü geliştirici genellikle SDK'nın tam olarak hangi verileri topladığını bilmez.
Üçüncü Taraf SDK'lar: Görünmeyen Veri Toplayıcılar
SDK entegrasyonu modern mobil geliştirmenin ayrılmaz parçasıdır. Ancak her SDK, uygulamanıza bir veri toplama katmanı ekler. KVKK açısından kritik nokta şudur: SDK sizin uygulamanız içinde çalışır; dolayısıyla topladığı verinin hukuki sorumluluğu size aittir.
Yaygın SDK'ların Veri Toplama Davranışları
SDK | Toplanan Veri | Amaç | KVKK Riski |
|---|---|---|---|
Firebase Analytics | Cihaz ID, oturum, ekran görüntüleme, kullanıcı özellikleri | Analitik | Yüksek — yurt dışı aktarım (Google ABD) |
Firebase Crashlytics | Cihaz bilgisi, stack trace, kullanıcı ID (varsa) | Hata takibi | Orta — kişisel veri içerebilir |
Facebook SDK | IDFA/GAID, uygulama olayları, cihaz bilgisi, IP | Reklam hedefleme | Çok yüksek — profilleme + yurt dışı aktarım |
AppsFlyer | IDFA/GAID, yükleme kaynağı, uygulama olayları | Attribution | Yüksek — reklam ağı veri paylaşımı |
Adjust | IDFA/GAID, yükleme kaynağı, oturum | Attribution | Yüksek — reklam ağı veri paylaşımı |
Google Ads SDK | GAID, dönüşüm olayları, cihaz bilgisi | Reklam | Çok yüksek — profilleme + yurt dışı aktarım |
OneSignal | Push token, cihaz bilgisi, kullanıcı segmentleri | Bildirim | Orta — kullanıcı profilleme riski |
Mixpanel | Kullanıcı olayları, cihaz bilgisi, özel özellikler | Analitik | Yüksek — yurt dışı aktarım |
SDK Entegrasyonunda KVKK Kontrol Noktaları
Her SDK entegrasyonundan önce şu sorular cevaplanmalıdır.
Bu SDK hangi verileri topluyor, toplanan veriler kişisel veri niteliğinde mi, SDK sağlayıcısı bu verileri kendi amaçları için de kullanıyor mu (eğer kullanıyorsa SDK sağlayıcısı o veriler açısından bağımsız veri sorumlusu haline gelir), veriler yurt dışına aktarılıyor mu, SDK sağlayıcısıyla DPA imzalandı mı, bu SDK'nın topladığı veriler aydınlatma metninde ve privacy label'da belirtildi mi, kullanıcı rıza vermeden SDK veri toplamaya başlıyor mu?
SDK'nın "Kendiliğinden" Veri Toplaması Sorunu
Bazı SDK'lar uygulama başlatıldığı anda otomatik olarak veri toplamaya başlar — kullanıcıdan herhangi bir izin veya rıza almadan. Bu durum özellikle reklam SDK'larında (Facebook SDK, Google Ads) yaygındır.
KVKK ve privacy by default ilkesi gereği, analitik ve reklam SDK'larının kullanıcı rıza vermeden veri toplamaması sağlanmalıdır. Teknik çözüm: SDK'ların başlatılmasını (initialization) rıza alınana kadar erteleme mekanizması (delayed initialization veya consent-gated SDK loading) uygulamak.
Runtime İzinler ve KVKK Aydınlatma İlişkisi
iOS ve Android'in runtime izin sistemi (konum, kamera, mikrofon, rehber, fotoğraf galerisi) KVKK'nın açık rıza mekanizmasıyla benzer işlev görür; ancak ikisi arasında önemli farklar vardır.
Platform İzni ≠ KVKK Rızası
Kriter | Runtime İzin (iOS/Android) | KVKK Açık Rıza |
|---|---|---|
Amaç | Cihaz özelliğine erişim | Kişisel veri işleme onayı |
Kapsam | Teknik erişim (konum sensörüne erişim) | Hukuki dayanak (veri işleme hakkı) |
Bilgilendirme düzeyi | Kısa sistem açıklaması | Kapsamlı aydınlatma (8 zorunlu unsur) |
Geri alınabilirlik | Sistem ayarlarından | Veri sorumlusuna başvuruyla |
KVKK yeterli mi? | Tek başına yeterli değil | Evet (aydınlatma ile birlikte) |
Runtime izin vermek, kullanıcının KVKK kapsamında bilgilendirildiği ve rıza verdiği anlamına gelmez. Platform izin diyaloğunun yanı sıra aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerekir.
Pratik Uygulama: İzin Öncesi Aydınlatma Ekranı
En güvenli yaklaşım, sistem izin diyaloğundan hemen önce bir "pre-permission" ekranı göstermektir. Bu ekranda konum/kamera/mikrofon verisinin neden toplandığı, kiminle paylaşıldığı ve ne kadar süre saklanacağı kısa ve anlaşılır dille açıklanır. Kullanıcı bu ekranı okuduktan sonra sistem izin diyaloğu tetiklenir.
Bu iki katmanlı yaklaşım hem kullanıcı deneyimini iyileştirir (izin kabul oranı artar) hem de KVKK aydınlatma yükümlülüğünü karşılar.
App Store ve Play Store Gereklilikleri
Apple ve Google, uygulama yayıncılarından giderek daha kapsamlı veri şeffaflığı talep etmektedir. Bu gereklilikler KVKK ile örtüşmekle birlikte ikisinin aynı şey olmadığının bilinmesi kritiktir.
Apple: Privacy Nutrition Label ve ATT
Privacy Nutrition Label: Her uygulamanın App Store sayfasında "Uygulama Gizliliği" bölümünde toplanan veri türlerinin, kullanım amaçlarının ve verilerin kullanıcıyla ilişkilendirilip ilişkilendirilmediğinin beyan edilmesini zorunlu kılar.
Bu beyan KVKK aydınlatma metninin yerini tutmaz. Privacy Nutrition Label, App Store'da görüntülenen özet bir bilgilendirmedir; KVKK aydınlatma metni ise 8 zorunlu unsuru içeren kapsamlı bir belgedir. İkisi paralel biçimde hazırlanmalıdır.
App Tracking Transparency (ATT): iOS 14.5'ten itibaren uygulamanın kullanıcıyı diğer uygulamalar ve web siteleri üzerinden takip etmesi için IDFA erişimi talep etmesi zorunludur. Kullanıcı "İzin Verme" seçerse IDFA'ya erişim engellenir.
ATT izni, KVKK kapsamında profilleme amaçlı açık rıza gereksinimini kısmen karşılar; ancak KVKK'nın gerektirdiği kapsamlı aydınlatma ATT diyaloğunun ötesindedir.
Google: Data Safety Section ve Privacy Sandbox
Data Safety Section: Play Store'da her uygulamanın toplanan ve paylaşılan veri türlerini, güvenlik uygulamalarını (şifreleme, veri silme) ve hesap silme imkânını beyan etmesini zorunlu kılar.
Privacy Sandbox (Android): Google, üçüncü taraf çerezleri ve reklam kimliğini kademeli olarak kaldırma planı dahilinde Topics API ve Attribution Reporting gibi alternatif mekanizmalar geliştirmektedir.
Store Gereklilikleri ile KVKK'nın Karşılaştırması
Gereksinim | Apple | KVKK | |
|---|---|---|---|
Veri toplama beyanı | Privacy Nutrition Label | Data Safety Section | Aydınlatma metni |
Takip izni | ATT (zorunlu) | Sandbox (geliştirme aşamasında) | Açık rıza |
Hesap silme | Zorunlu (Haziran 2023) | Zorunlu (Aralık 2023) | Silme/yok etme hakkı (m. 7) |
Çocuk uygulamaları | Apple Kids Category | Families Program | Ebeveyn rızası + özel koruma |
Minimum gizlilik politikası | Zorunlu (URL) | Zorunlu (URL) | Aydınlatma metni (8 unsur) |
Kritik çıkarım: Store gerekliliklerini karşılamak KVKK uyumunu otomatik olarak sağlamaz. Her ikisi ayrı ayrı yerine getirilmelidir.
Push Notification ve KVKK
Push notification altyapısı kişisel veri içerir: cihaz push token'ı, kullanıcı segmentasyonu verileri ve bildirim içeriği (kişiye özel kampanya, sipariş bilgisi gibi).
Push Token Kişisel Veri midir?
Push token (APNs token veya FCM token) tek başına doğrudan kimlik bilgisi içermez; ancak kullanıcı hesabıyla eşleştirildiğinde kişisel veri haline gelir. KVKK'nın "belirlenebilir kişiye ilişkin her türlü bilgi" tanımı kapsamında push token'lar kişisel veri olarak değerlendirilmelidir.
Push Notification İzni ve KVKK
iOS'ta push notification izni sistem diyaloğuyla alınır; Android'de varsayılan olarak açıktır (Android 13'ten itibaren izin gerekir). KVKK açısından iki ayrım yapılmalıdır.
Teknik/hizmet bildirimleri: Sipariş durumu, güvenlik uyarısı, hesap bildirimi gibi hizmetin işleyişi için gerekli bildirimler meşru menfaat veya sözleşme ifası dayanağıyla gönderilebilir.
Pazarlama bildirimleri: Kampanya, indirim, yeni özellik tanıtımı gibi ticari amaçlı bildirimler için açık rıza zorunludur. Ayrıca İYS kapsamında ayrı bir onay mekanizması gerektirebilir.
Privacy by default ilkesi gereği pazarlama bildirimleri varsayılan olarak kapalı olmalıdır.
Push Notification Sağlayıcıları ve Yurt Dışı Aktarım
OneSignal, Firebase Cloud Messaging (FCM) ve Amazon SNS gibi push notification sağlayıcıları genellikle ABD merkezlidir. Push token'ların ve kullanıcı segmentasyon verilerinin bu sağlayıcılara aktarılması yurt dışı veri aktarımı kapsamındadır ve standart sözleşme gerektirir.
Çocuklara Yönelik Uygulamalar: En Yüksek Risk Kategorisi
Çocuklara yönelik veya çocukların kullanabileceği uygulamalar KVKK, platform kuralları ve uluslararası düzenlemeler açısından en sıkı kurallara tabidir.
KVKK Açısından Çocuk Verisi
KVKK'da çocuklara özel bir yaş sınırı belirlenmemiştir; Medeni Kanun uyarınca 18 yaş altı kişiler ergin sayılmaz. Bu nedenle 18 yaş altı kullanıcıların kişisel verilerinin işlenmesinde velinin rızası aranır.
Kurul'un Şubat 2026'da TikTok, Instagram, Facebook, YouTube, X ve Discord hakkında resen inceleme başlatması, çocuk verisi konusundaki artan denetim baskısını somut biçimde göstermektedir.
Platform Kuralları
Apple Kids Category: Çocuklara yönelik uygulamalarda üçüncü taraf analitik ve reklam SDK'larının kullanımı ciddi biçimde kısıtlanmıştır. Davranışsal reklam yasaktır.
Google Families Program: Çocuk uygulamalarında kişiselleştirilmiş reklam yasaktır; yalnızca Google'ın onaylı reklam ağları kullanılabilir. Veri toplama minimumda tutulmalıdır.
Çocuk Uygulamaları İçin KVKK Kontrol Listesi
☐ Yaş doğrulama mekanizması kurulu mu (age gate)?
☐ 18 yaş altı kullanıcılar için ebeveyn rızası alınıyor mu?
☐ Üçüncü taraf reklam ve analitik SDK'ları kısıtlanmış mı?
☐ Davranışsal reklam devre dışı mı?
☐ Varsayılan gizlilik ayarları en yüksek seviyede mi?
☐ Veri toplama gerçekten gereken minimumla sınırlı mı?
☐ Aydınlatma metni çocuğun ve velinin anlayabileceği dilde mi?
☐ Platform kuralları (Kids Category / Families Program) karşılanmış mı?
Teknik Uygulama: Consent Management Akışı
KVKK uyumlu bir mobil uygulamada rıza yönetim akışı şu şekilde kurgulanmalıdır.
Adım 1 — İlk açılış: Uygulama ilk kez açıldığında aydınlatma metni sunulur. Metin, uygulama içi bir ekranda veya web görünümünde gösterilir; salt "Gizlilik Politikamız için tıklayın" linki yeterli değildir.
Adım 2 — Rıza toplama: Analitik, reklam ve kişiselleştirme için ayrı ayrı toggle veya kutucuklar sunulur. Tüm toggle'lar varsayılan olarak kapalı konumda olmalıdır (privacy by default). Zorunlu çerezler/işlemler (oturum yönetimi, güvenlik) ayrı belirtilir ve kapatılamaz.
Adım 3 — SDK başlatma: Kullanıcı rıza verdikten sonra ilgili SDK'lar başlatılır (consent-gated initialization). Rıza verilmeyen SDK'lar başlatılmaz ve veri toplamaz.
Adım 4 — Runtime izinler: Konum, kamera, mikrofon gibi izinler kullanıcı ilgili özelliğe erişmeye çalıştığında talep edilir (lazy permission). Pre-permission ekranında amaç açıklanır, ardından sistem diyaloğu tetiklenir.
Adım 5 — Tercih yönetimi: Kullanıcı uygulama ayarlarından tercihlerini istediği zaman değiştirebilmelidir. Rıza geri alındığında ilgili SDK'lar durdurulmalı ve mevcut veriler silinmelidir.
Adım 6 — Kayıt: Her rıza beyanı tarih, saat, uygulama sürümü ve kullanıcı kimliği ile birlikte kaydedilir. Bu kayıtlar Kurul incelemesinde ispat aracı olarak kullanılır.
Uygulama İçi Aydınlatma Metni Tasarımı
Mobil uygulamalarda aydınlatma metninin tasarımı masaüstü web sitelerinden farklı zorluklar içerir: küçük ekran, kısa dikkat süresi ve kaydırma yorgunluğu.
Katmanlı Aydınlatma Yaklaşımı
Birinci katman (özet): Uygulama ilk açılışında gösterilen kısa ve görsel ağırlıklı bir ekran. Hangi verilerin toplandığı ikon ve kısa açıklamalarla özetlenir. "Detaylı Bilgi" butonu ile tam metne erişim sağlanır.
İkinci katman (tam metin): 8 zorunlu unsuru içeren kapsamlı aydınlatma metni. Uygulama ayarlarından her zaman erişilebilir olmalıdır.
Kurul, katmanlı aydınlatmayı mobil uygulamalar için uygun bulmuştur; ancak birinci katmanda zorunlu unsurların en azından özetinin yer almasını aramaktadır.
Sık Sorulan Sorular
Uygulamamdaki SDK'ların topladığı veriden sorumlu muyum?
Evet. SDK sizin uygulamanız içinde çalışır ve kullanıcıdan sizin adınıza veri toplar. Bu verilerin KVKK kapsamındaki hukuki sorumluluğu size aittir. SDK sağlayıcısının veriyi kendi amaçlarıyla da kullanması durumunda SDK sağlayıcısı o veriler açısından bağımsız veri sorumlusu haline gelir; ancak bu sizin sorumluluğunuzu ortadan kaldırmaz.
Runtime izin vermek KVKK rızası yerine geçer mi?
Hayır. Sistem izin diyaloğu cihaz özelliğine teknik erişimi kontrol eder; KVKK açık rızası ise kişisel veri işleme için hukuki dayanak oluşturur. İkisi farklı mekanizmalardır. Aydınlatma yükümlülüğü platform izinlerinden bağımsız olarak yerine getirilmelidir.
App Store Privacy Label KVKK aydınlatma metninin yerini tutar mı?
Hayır. Privacy Label, App Store sayfasındaki özet bir veri beyanıdır. KVKK aydınlatma metni ise 8 zorunlu unsuru içeren kapsamlı bir belgedir. İkisi paralel biçimde hazırlanmalıdır.
Firebase kullanıyorum, yurt dışı veri aktarımı mı sayılır?
Evet. Firebase hizmetleri Google'ın sunucularında çalışır ve veriler genellikle ABD'de işlenir. Bu durum KVKK kapsamında yurt dışı veri aktarımı sayılır ve standart sözleşme gerektirir.
Çocuk uygulaması geliştiriyorum, özel KVKK kuralları var mı?
Evet. 18 yaş altı kullanıcılar için ebeveyn rızası aranır, davranışsal reklam yasaktır, veri toplama minimum düzeyde tutulmalıdır ve varsayılan gizlilik ayarları en yüksek seviyede olmalıdır. Apple Kids Category ve Google Families Program kuralları da ayrıca karşılanmalıdır.
Kullanıcı rıza vermezse SDK'ları çalıştırabilir miyim?
Hayır. Analitik ve reklam SDK'ları kişisel veri topladığından, kullanıcı rıza vermeden bu SDK'ların başlatılmaması gerekir. Consent-gated SDK initialization uygulanmalıdır. Zorunlu SDK'lar (güvenlik, oturum yönetimi) bunun dışındadır.
Okuyucular Bunları da Soruyor
Uygulamamda hangi SDK'ların veri topladığını nasıl tespit edebilirim?
iOS'ta App Privacy Report (Ayarlar > Gizlilik > App Privacy Report) uygulamanızın hangi ağ bağlantıları kurduğunu gösterir. Android'de Network Inspector kullanılabilir. Ayrıca Exodus Privacy (exodus-privacy.eu.org) açık kaynak aracı, uygulamanızdaki tracker SDK'ları otomatik olarak tespit eder.
Uygulamamı güncellerken mevcut kullanıcılardan yeniden rıza almalı mıyım?
Yeni bir SDK ekleniyorsa veya mevcut veri toplama kapsamı genişliyorsa evet, mevcut kullanıcılardan yeniden rıza alınmalıdır. Mevcut SDK'lar ve veri kapsamı değişmiyorsa yeniden rıza gerekmez.
Offline çalışan uygulamam veri topluyor mu?
Uygulama offline çalışırken de cihaz üzerinde veri toplayabilir (konum geçmişi, kullanım verileri). Bu veriler cihaz çevrimiçi olduğunda sunucuya aktarılırsa KVKK yükümlülükleri geçerlidir. Offline toplama da dahil olmak üzere tüm veri toplama noktaları aydınlatma metninde belirtilmelidir.
Cross-platform framework kullanıyorum (React Native, Flutter). KVKK fark eder mi?
Framework seçimi KVKK yükümlülüklerini değiştirmez. React Native veya Flutter uygulaması da native uygulama ile aynı KVKK kurallarına tabidir. Ancak cross-platform framework'lere eklenen üçüncü taraf plugin'lerin (npm/pub paketleri) arka planda veri toplayıp toplamadığı ayrıca kontrol edilmelidir.
Sonuç
Mobil uygulama geliştirme, KVKK'nın en teknik ve en çok katmanlı uyum alanlarından biridir. Üçüncü taraf SDK'ların görünmeyen veri toplama davranışları, platform izin sistemlerinin KVKK rızasıyla karıştırılması ve store gerekliliklerinin KVKK yerine geçtiği yanılgısı en sık karşılaşılan hatalardır.
Privacy by design ilkesinin uygulama mimarisine baştan entegre edilmesi, consent-gated SDK initialization uygulanması, katmanlı aydınlatma ile kullanıcının gerçekten bilgilendirilmesi ve çocuk uygulamalarında en yüksek koruma düzeyinin sağlanması hem KVKK uyumunu hem de kullanıcı güvenini güçlendirir.
Güneş Partners olarak mobil uygulama geliştiricilerinin KVKK uyum süreçlerinde — SDK denetimi, aydınlatma ve rıza mekanizması tasarımı, store politikası uyumu, yurt dışı aktarım güvencesi ve Kurul süreçlerinde temsil — kapsamlı hukuki destek sağlıyoruz. Uygulamanızın KVKK uyumunu değerlendirmek için bizimle iletişime geçebilirsiniz.
Bu İçerik Hakkında
Bu içerik, Güneş Partners kurucu ortakları Av. Mert Güneş ve Av. Melis Güneş tarafından, 6698 sayılı KVKK, KVKK Kurumu rehberleri, Apple Developer Program License Agreement, App Tracking Transparency Framework, Google Play Developer Distribution Agreement, Google Privacy Sandbox dokümantasyonu, Firebase ve Facebook SDK gizlilik dokümanları ve Kurul'un Şubat 2026 sosyal medya incelemesi kararı temelinde hazırlanmıştır. Mobil uygulama ve KVKK uyum süreçlerinde profesyonel destek için gunespartners.com adresini ziyaret edebilirsiniz.